La technologie d’identification par radiofréquence (RFID)

doit-on s’en méfier?

Document d’analyse

Préparé par :

Gaétan Laberge
Analyste en informatique

Direction de l’analyse et de l’évaluation

Mai 2006
 AVANT-PROPOS

La Commission d’accès à l’information rend public un document d’analyse sur la

technologie d’identification par radiofréquence (RFID) dans le but de présenter les
concepts de cette technologie et de souligner les différents enjeux qu’elle pose en regard
de la protection des renseignements personnels et de la vie privée.

Cette analyse a pour objectif d’apporter un premier éclairage sur cette technologie et de
favoriser une première réflexion sur ses implications collectives et individuelles.
 TABLE DES MATIÈRES

INTRODUCTION .............................................................................................................. 1

1. Définition de la technologie RFID.......................................................................... 1

2. Les applications de la technologie RFID ................................................................ 1

3. Les craintes soulevées par la technologie RFID ..................................................... 3

4. Réactions des organismes de protection de renseignements personnels et de la vie

privée....................................................................................................................... 4

5. L’impact de la technologie RFID en regard des principes de protection de

renseignements personnels...................................................................................... 5

CONCLUSION……………………………………………………………………………7
INTRODUCTION

La technologie RFID a plusieurs applications et sera de plus en plus présente dans la vie
quotidienne des individus. Les débouchés que laisse entrevoir cette technologie puissante
et révolutionnaire pourraient avoir des répercussions sur tous les citoyens. Cette
technologie suscite un intérêt marqué auprès des entreprises, en raison de son efficacité
opérationnelle et de la réduction des coûts proposés. Toutefois, elle conduit à une
préoccupation en regard de la protection des renseignements personnels et de la vie
privée des citoyens. Le présent document apporte des éléments de réflexion à ce sujet.

1. Définition de la technologie RFID

La technologie d’identification par radiofréquence (Radio Frequency Identification

(RFID) repose sur l’utilisation d’une puce électronique qui est reliée à une antenne
miniature. Cette technologie se présente en général sous la forme d’un grain de riz ou
d’une étiquette.

La technologie RFID opère généralement de façon passive, sans énergie propre, en

attente d’être activée par des fréquences radio envoyées par des émetteurs-récepteurs
(lecteurs RFID) et utilisant l'énergie du signal radio reçu pour le refléter et y répondre.
Cette technologie RFID passive a une portée maximale d’environ dix mètres tandis que la
technologie RFID active, qui possède une batterie interne, a une plus grande marge de
rayonnement en fonction du lecteur utilisé.

Les étiquettes RFID qui sont actuellement testées seront probablement les remplaçantes
des codes-barres actuels1. De fait, depuis que les prix des étiquettes et des lecteurs RFID
ont chuté, leur diffusion devient de plus en plus viable économiquement. Leur stockage et
leur capacité de communication interactive en font des produits bien plus puissants que
les codes-barres. De plus, une étiquette RFID fournit un identifiant unique pour chaque
produit qui en est équipé, alors que les codes-barres sont identiques pour tous les
exemplaires d'un même produit.

La technologie RFID opère sans intervention humaine et elle est facilement utilisable
sans que le citoyen s’en aperçoive.

2. Les applications de la technologie RFID

Les récentes études2à ce sujet démontrent que les fournisseurs de la technologie RFID
dépenseront en équipements, logiciels et services, près de 800 millions de dollars
américains en 2006 et 1,3 milliard de dollars américains en 2008. Ces montants seront

1
Le Devoir, 8 septembre 2003, B-7.
2
Source : firme IDC, www.idc.com

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 1 sur 8
investis dans une multitude d’applications dont un certain nombre d’exemples sont
présentés dans les sections suivantes.

Par ailleurs, en 2005, un investissement initial de quelque 1,7 million de dollars

canadiens a été injecté dans la création d’un centre RFID canadien afin de permettre à
l’industrie canadienne de mieux comprendre, expérimenter et essayer les toutes dernières
technologies RFID. Ce centre est situé à Markham (Ontario).3

Le domaine commercial

Les étiquettes ayant recours à la technologie RFID peuvent être utilisées pour permettre
le paiement sans contact aux points de vente; par exemple, les articles possédant une
technologie RFID sont automatiquement lus à la sortie du magasin pour paiement et
éviter la fraude4.

Elles peuvent servir à créer des « rayonnages intelligents » (smart shelves) dans les
magasins afin de mieux gérer la chaîne d'approvisionnement et faciliter le remplissage
des rayons.

Des étiquettes RFID lavables peuvent être incorporées dans les vêtements (wearable
computing) afin de prévenir ou détecter les contrefaçons de marques spécifiques et de
prouver l'authenticité d'un produit (http://www.spychips.com/press-releases/checkpoint-
photos.html).

Dans une discothèque de Barcelone, la technologie RFID permet aux usagers de payer
leurs consommations sans sortir leur portefeuille5.

Wal-Mart exigera de ses fournisseurs de se convertir à la technologie RFID dans le but

d’améliorer le contrôle des inventaires et de réduire les coûts.

Dans le commerce des bovins, l’agence canadienne CCIA6 recommande que tous les
veaux nés à partir de 2005 soient contrôlés à l’aide de la technologie RFID.

Le domaine de la santé

L’industrie pharmaceutique voit un avantage à adopter cette technologie, notamment

pour la gestion des retours, des contre-indications, des diversions et des contrefaçons de
produits. Par exemple, la Food and Drug Administration (FDA) américaine a lancé un
programme de lutte contre la contrefaçon de médicaments reposant sur l’utilisation de la
technologie RFID dans les emballages.

3
http://www.canadianrfidcentre.ca
4
Des étiquettes trop bavardes?, section technologie, revue Protégez-vous, octobre 2004.
5
Le Soleil, 20 juillet 2004, B-1, B-2.
6
The Canadian Cattle Identification Agency, www.canadaid.com

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 2 sur 8
Par ailleurs, le 13 octobre 2004, la compagnie Applied Digital a annoncé que la FDA a
approuvé un implant chirurgical ( VeriChip RFID device ) pour certaines applications
médicales (http://www.rfidconcerns.com).

La compagnie Bearing Point présente également une application dans le domaine de la

santé
(http://www.bearingpoint.com/portal/site/bearingpoint/menuitem.7e4bc0defa952a30357b
6910826106a0/channel/published/executive%20insights/generic/PS_foglifter_3045abc).

Le domaine du transport

Les documents de voyage tels que le passeport et le visa pourraient en être munis.
D’ailleurs, le gouvernement américain vise l’introduction du « e-passport », lequel
utilisera la technologie RFID (http://www.aclu.org/passports).

Le Parlement de l’État de Virginie prévoit l’adoption d’une résolution afin de doter les
permis de conduire d’une puce RFID
(http://www.aclu.org/Privacy/Privacy.cfm?ID=16658&c=39).

Dans le secteur de l’aviation, les deux géants Boeing et Airbus visent l’adoption de la
technologie RFID (http://www.rfidjournal.com).

La compagnie Intermec présente la solution NEXUS pour le contrôle des véhicules à la

frontière Canada et Ètats-Unis
(http://www.intermec.com/eprise/main/Intermec/content/Products/Products_ListFamily?
Category=RFID).

3. Les craintes soulevées par la technologie RFID

La technologie RFID n’est pas nouvelle puisqu’elle est actuellement utilisée, à titre
d’exemple, pour des cartes de sécurité permettant l’accès à certains édifices. Toutefois,
son déploiement dans une multitude d’applications à l’insu des citoyens, soulève des
appréhensions d’autant plus que l’évolution rapide des nanotechnologies promet une
généralisation de micropuces invisibles à l’œil nu. Quoique les puces contiennent
généralement des informations sur un produit (format, couleur, date de fabrication et
autres) et non sur un individu, il y a tout de même des risques potentiels d’atteinte aux
droits de l’individu puisque ce dernier n’a pas de contrôle sur la technologie RFID,
notamment en regard des points suivants :

 La présence de la technologie RFID dans les produits n’est pas identifiée;

 Il n’existe pas de norme ou politique concernant l’utilisation de la technologie

RFID;

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 3 sur 8
  La saisie des données est faite automatiquement à distance sans avertissement ou
confirmation. Il n’y a pas de possibilité d’arrêter la communication ou de fournir
un consentement d’utilisation;

 Il n’est pas possible de déceler qu’une étiquette de la technologie RFID reste

active, au-delà de l’achat. Ainsi, elle peut potentiellement être lue (traçabilité) à
l’insu de son porteur, par d’autres personnes ou organismes, risquant de porter
atteinte à la vie privée du porteur.

La technologie RFID procure une amélioration opérationnelle pour les entreprises

(ex. contrôle des inventaires, contrôle du vol, diminution des coûts de fonctionnement).
Toutefois, les caractéristiques de cette technologie permettent un déploiement qui peut
avoir de nombreuses implications en matière de vie privée, notamment lorsque les
données contenues dans une puce peuvent être associées à des renseignements
nominatifs. À titre d’exemple, un magasin peut utiliser une étiquette RFID comportant un
numéro unique (code EPC) d’un produit et relier ce numéro au nom de l’acheteur lors du
paiement par carte de crédit. Ces renseignements peuvent être conservés en vue d’établir
les habitudes de consommation de la clientèle et ses préférences en matière de marques,
au même titre que les cartes de fidélité qui existent actuellement. Cette utilisation des
puces RFID se compare à celle des témoins « cookies » lorsque l’on navigue sur Internet
et pourrait, par conséquent, avoir des impacts similaires.

Par ailleurs, il y a lieu de se demander si l’incorporation de puces RFID contenant des

renseignements personnels dans le permis de conduire ou dans le passeport, n’aura pas
comme effet d’augmenter les risques d’usurpation d’identité.

4. Réactions des organismes de protection de renseignements personnels

et de la vie privée
L’introduction de la nouvelle technologie RFID soulève des réactions de la part de
plusieurs organismes de protection de renseignements personnels et de la vie privée à
travers le monde. On retrouve, en annexe, la référence à un certain nombre d’organismes
ainsi qu’à des adresses Internet qui font état de leur position à cet égard. Voici, à titre
d’exemple, l’appréciation de certains organismes dont les réactions vont de la
mobilisation à la prise de position, notamment en adoptant des résolutions :

 Le groupe CASPIAN est un organisme de défense des droits des consommateurs

américains, qui dénonce le développement de puces introduites dans les produits
dont l’utilisation peut servir à retracer les individus;

 La Commission nationale de l’informatique et des libertés (CNIL), en France,

considère que la technologie RFID devient un enjeu économique majeur,
notamment, dans les applications relatives à la distribution et au transport. En
raison de leur dissémination massive, de la nature individuelle des identifiants de
chacun des objets marqués, de leur caractère invisible et des risques de profilage

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 4 sur 8
 des individus, la CNIL considère que les étiquettes RFID sont des identifiants
personnels au sens de la Loi Informatique et Libertés;

 Lors de la Conférence internationale des commissaires à la protection des données

et à la vie privée, qui s’est tenue à Sydney en septembre 2003, la technologie
RFID a fait l’objet d’une résolution concernant la nécessité de prendre en compte
les principes de protection des données lorsque la technologie RFID est reliée à
des informations personnelles. Tous les principes fondamentaux de la législation
en matière de protection des données et de la vie privée doivent être observés au
moment de la conception, de la mise en œuvre et de l’utilisation de la technologie
RFID, notamment en ce qui concerne l’évaluation d’alternatives, l’exercice d’une
collecte claire et transparente, le respect des finalités, la conservation ainsi que la
destruction des données et du support.

5. L’impact de la technologie RFID en regard des principes de protection

de renseignements personnels
L’examen des diverses réactions des organismes de protection de renseignements
personnels et de la vie privée et une analyse du fonctionnement de la technologie RFID
en regard des principes de la protection de renseignements personnels, font ressortir
différents constats ou préoccupations qui méritent une attention particulière. Dans la
mesure où une entreprise privée ou un organisme public recueille, détient, utilise ou
communique à des tiers des renseignements personnels en association avec une
technologie RFID, les réflexions ou les questions suivantes doivent être examinées :

La responsabilité des renseignements personnels

Les utilisateurs de la technologie RFID doivent-ils rendre publique leur politique ainsi
que leurs normes et pratiques concernant la mise en place de cette technologie et des
systèmes les supportant, ainsi que l’existence d’une base de données, le cas échéant?

Un responsable doit-il être désigné, s’il y a lieu, en regard de la protection des

renseignements personnels?

Cette responsabilité doit-elle être prise en compte dès la phase de conception d’un
système recourant à la technologie RFID?

La finalité

Lorsque des renseignements personnels sont concernés, les utilisateurs de la technologie

RFID doivent-ils indiquer le but pour lequel cette technologie est utilisée (ex. pour le
contrôle des inventaires)?

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 5 sur 8
Les explications doivent-elles être consignées dans des dépliants, affiches ou autres et
accessibles aux individus?

De plus, s’il y a lieu, les raisons pour lesquelles les utilisateurs de la technologie RFID
comptent recueillir et utiliser des renseignements personnels doivent-elles être explicites?

Limite de la collecte

Est-ce que les renseignements personnels recueillis sont nécessaires à l’entreprise ou à

l’organisme public et sont-ils recueillis auprès de la personne concernée?

Est-ce que le service offert à l’aide de la technologie RFID peut s’effectuer sans qu’il y
ait de cueillette de renseignements personnels?

Est- ce que l’individu a un ou plusieurs choix pour refuser la technologie RFID sans être
pénalisé?

Informer le citoyen

Les citoyens ont le droit de connaître les produits identifiés avec la technologie RFID et
les spécifications techniques utilisées. Il y aurait lieu de fournir une indication claire,
précise et facile à comprendre des produits identifiés avec la technologie RFID, et ce,
dans un langage non technique et vulgarisé. De plus, le processus de traitement de
plaintes doit être clairement indiqué.

Limiter l’accès aux renseignements personnels

S’il y a collecte de renseignements personnels, quels sont les moyens utilisés pour limiter
l’accès aux seules personnes autorisées?

La communication

S’il y a communication de renseignements personnels à des tiers, quel est le moyen

utilisé pour obtenir préalablement le consentement du citoyen?

La qualité

Quels sont les mécanismes mis en place pour que les renseignements personnels soient
maintenus à jour, exacts et complets, et ce, afin de servir uniquement aux fins pour
lesquelles ils ont été recueillis?

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 6 sur 8
La sécurité

La sécurité soulève plusieurs questions, notamment :

Quelles sont les mesures de sécurité physiques, technologiques et administratives qui

doivent être mises en place pour protéger les renseignements personnels?

Comment l’intégrité de l’information est-elle protégée?

L’information peut-elle être lue par n’importe quel lecteur RFID?

Le chiffrement de l’information est-il requis?

Le droit d’accès et de rectification

Quel est le mécanisme de consultation et de correction de l’information qui doit être

appliqué pour permettre à chaque individu concerné d’exercer ses droits?

La conservation et la destruction

Est-il nécessaire qu’une banque de données soit créée lors de la mise en œuvre de la
technologie RFID?

Si c’est le cas, la durée de conservation des renseignements personnels doit être établie et
les renseignements personnels doivent être détruits de manière irréversible lorsque l’objet
pour lequel ils ont été recueillis est accompli.

Par ailleurs, à partir du moment où les étiquettes RFID sont en possession des individus,
la technologie devrait permettre la mise en place de mécanismes de désactivation
permanente ou de destruction de ces étiquettes RFID sans frais.

CONCLUSION
La venue de cette nouvelle technologie soulève plusieurs réactions des organismes de
défense des droits et libertés des citoyens. Du point de vue strictement de la protection
des renseignements personnels, cette technologie soulève des questionnements pour
lesquels il n’y a actuellement aucune réponse complète. Par conséquent, cet état de fait
doit inciter les individus concernés à être vigilants en présence de risques nouveaux pour
la protection de leurs renseignements personnels et de leur vie privée.

Pour sa part, la Commission d’accès à l’information exerce une vigie à l’égard de

l’introduction de cette technologie en fonction de la Loi sur l’accès aux documents des

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 7 sur 8
organismes publics et sur la protection des renseignements personnels et de la Loi sur la
protection des renseignements personnels dans le secteur privé. Ce document apporte des
éléments de réflexion et pourrait conduire, éventuellement, à l’établissement de normes
ou de règles d’utilisation.

_______________________________________________________________________
Commission d’accès à l’information – DAE Page 8 sur 8
 ANNEXE

Réactions de certains organismes face à la technologie RFID

 Conférence internationale des commissaires à la protection des données et à la vie

privée (Sydney, septembre 2003)
http://www.privacyconference2003.org/commissioners.asp

 La Commission nationale de l’informatique et des libertés (CNIL), en France

http://www.cnil.fr/index.php?id=1063

 Le Bureau du commissaire à l’information et à la protection de la vie privée de

l’Ontario. Document d’analyse sur la technologie RFID : Tag, you’re it : Privacy
implication of radio frequency identification (RFID) technology, Ann Cavoukian,
Ph. D., Commissioner, February 2004
http://www.ipc.on.ca/scripts/index_.asp?action=31&P_ID=15007&N_ID=1&PT_
ID=11351&U_ID=0
Guidelines for Using RFID Tags in Ontario Public Libraries” (June 2004),
http://www.ipc.on.ca/docs/rfid-lib.pdf

 Commissaire à l'information et à la protection de la vie privée de l'Alberta

News Release: Commissioner urges businesses to consider privacy obligations
before implementing RFID technology (5 April 2004),
http://www.oipc.ab.ca/ims/client/upload/RFID_NewsRelease_Mar2004.pdf

 L’Association CASPIAN (Consumer Against Supermarket Privacy Invasion and

Numbering)
http://www.spychips.com et http://www.nocards.org/rfid/rfidbill.shtml

 L’Association EPIC (Electronic Privacy Information Center)

http://www.epic.org/privacy/rfid

 Consumer Privacy and Civil Liberties Organisations

http://www.privacyrights.org/ar/RFIDposition.htm

 L’American Civil Liberties Union

http://www.aclu.org/privacy/spying/15306res20050404.html

_____________________________________________________________________
Commission d’accès à l’information – DAE
  Commission Européenne, Groupe article 29 sur la protection des données
Directive 95\46\EC, document de travail sur la protection des données concernant
la technologie RFID, 19 janvier 2005, WP 105.
http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp105_fr.
pdf

 Commissariat à la protection de la vie privée du Canada.

Teresa Scassa, Theodore Chiasson, Michael Deturbide & Anne Uteck, “An
Analysis of Legal and Technological Privacy Implications of Radio Frequency
Identification Technologies - A Report to the Office of the Privacy Commissioner
of Canada, under the 2004-05 Contributions Program” (28 April 2005),
http://www.library.dal.ca/law/Guides/FacultyPubs/Scassa/RFIDs_Report2(Single)
.pdf

Colin Bennett & Lori Crowe, “Location-based Services and the Surveillance of
Mobility: An Analysis of Privacy Risks in Canada - A Report to the Office of the
Privacy Commissioner of Canada, under the 2004-05 Contributions Program”
(June 2005), http://web.uvic.ca/polisci/bennett/pdf/lbsfinal.pdf

_____________________________________________________________________
Commission d’accès à l’information – DAE